Tuesday, October 11, 2016

Mês da consciência nacional sobre cyber security: Atestados e Certificações

07 de outubro de 2016, | Por Christopher Burgess

Traduzido por Afonso Henrique Rodrigues Alves


National Cyber Security Awareness Month (NCSAM) é um evento para refletir sobre como cada um de nós podemos ajudar a restabelecer a segurança em nossas empresas, empregados e nos clientes. Ao longo de outubro, os profissionais de segurança e entusiastas em todo o país estão espalhando conhecimento e consciência. Confiança é a chave para qualquer transação entre uma empresa e seus clientes ou parceiros. Marketing e vendas estão a criar e distribuir papéis em abundância para explicar os mais recentes e as maiores soluções tecnológicas. Embora estes materiais são muitas vezes criticados, eles oferecem grande valor que permite que a equipe de vendas possa colocar suas prioridades.

Construção de confiança durante o mês da consciência Cyber ​​Security

Os profissionais de saúde aconselham-nos a realizar auto inspeções de nossos corpos para alterações ou anomalias, uma vez que são claramente especialistas em nosso próprio corpo. Durante o mês da consciência Cyber ​​Security, os líderes de segurança devem aplicar este princípio aos seus ambientes de TI. É o Chefe oficial do trabalho de confiança (CTrO) que constrói a confiança entre a organização e seus clientes. Um exame da postura de segurança da organização pode iniciar o diálogo sobre essa confiança. Cada empresa, grande ou pequena, tem a capacidade de rever as suas infraestruturas, dependências e processos de acordo com o formato da Statement on Standards for Attestation Engagements (SSAE) No. 16, or SSAE-16, que substitui o SAS-70 in 2011.

SSAE-16
A SSAE-16 é um atestado de saúde e bem-estar da empresa. A SSAE-16 é dividido em dois tipos de Serviço de Controle de Organização (SOC), estruturas de relatórios. O Tipo I relatório contém a descrição do seu projeto de sistema e controle para atender a um objetivo específico em um ponto no tempo (por exemplo, em conformidade SOX). O relatório Tipo II descreve o sistema e controles que são projetados para atender os objetivos de controle ao longo de um período de tempo (por exemplo, o próximo ano de operação). Os critérios do SOC-1 parecem notavelmente semelhantes aos do SAS-70. Os critérios SOC-2 baseiam-se na disponibilidade de serviços. O propósito do mês da consciência Cyber ​​Security, o SOC-2 centra-se na confiança. Isto abrange a segurança, a disponibilidade, o processamento, a confidencialidade e privacidade, e que abrange as várias categorias de políticas, procedimentos, monitoramento e comunicação. Considerando que o SOC-1 e SOC-2 são documentos em grande parte internas que seriam compartilhados somente sob a proteção de um acordo de confidencialidade, um relatório SOC-3 é projetado para o público. Ele contém um relatório sobre se o sistema pode ser confiável, com base na auditoria do SOC-1 e SOC-2.

ISO 27001
A Organização Internacional de Serviço (ISO) 27001 é semelhante, mas mais complexa. A certificação ISO 27001 fala em quantidade para os clientes. IBM MaaS360, por exemplo, recentemente obteve a certificação ISO 27001. ISO 27001 incide especificamente sobre os sistemas de gestão de segurança da informação (SGSI). Isto inclui as pessoas, processos e sistemas de TI. Líderes de segurança devem rever o ISO 27001, localizar as especificações que se aplicam imediatamente e realizar uma autoexame no que respeita à realização dos critérios descritos. Esse autoexame é uma segunda etapa excelente para identificar o fruto maduro e determinar se consultores externos ou auditores são necessários para se preparar para a certificação ISO 27001. Como observado no anúncio certificação MaaS360, a certificação ISO 27001 é composto por 14 categorias de controle com 114 controles separados, que incidem sobre:
•          Gestão de ativos;
•          Controle de acesso;
•           Criptografia;
•          Segurança Operacional;
•          Desenvolvimento de sistema; e
•          Manutenção.
Implementação e Certificação
Os membros da Auditoria e Controle de Associação de Sistemas de Informação (ISACA) são muitas vezes chamados para ajudar com a preparação dos SSAE-16 e ISO 27001. A organização sem fins lucrativos fornece orientações sobre a implementação e medição do ISO 27001 desde a certificação que exige um acompanhamento dinâmico e contínuo de todos os sistemas. De acordo com a ISACA, "os custos de implementação são movidos pela percepção de risco e quanto risco uma organização está disposta a aceitar." Ele identifica quatro áreas chave de custos associados com a implementação da ISO 27001:
•          recursos internos;
•          Os recursos externos;
•          Certificação; e
• Implementação.
Mês da consciência da Cyber ​​Security lembra-nos coletivamente a reavaliar nossa posição atual na segurança. Todos nós desejamos angariar a confiança dos nossos clientes, clientes e parceiros. Atestados como o SSAE-16 e certificações, como o ISO 27001 percorrem um longo caminho para ajudar qualquer organização a confiar mais no sistema. Líderes de segurança devem investir recursos na documentação de segurança, e eles não devem esperar até o próximo mês da consciência da National Cyber ​​Security para começar.

CEO at Prevendra
Christopher Burgess is the CEO of Prevendra, a security, privacy, and intelligence company. He is also an author, speaker, and advocate for effective security strategies, be they for your company, home or family. Christopher co-authored "Secrets Stolen, Fortunes Lost: Preventing Intellectual Property Theft and Economic Espionage in the 21st Century" (Syngress, March 2008) and authored the e-book, "Senior Online Safety" (Prevendra, March 2014) and is the voice behind the website, "Senior Online Safety." Prior to the founding of Prevendra, Christopher held a variety of private and public sector positions, which included, chief operating officer and chief security officer of a big data analytic company, Atigeo; Senior Security Advisor to the CSO of Cisco, a Fortune 100, and 30+ years within the Central Intelligence Agency. The CIA awarded him the Distinguished Career Intelligence Medal upon his retirement. Christopher resides in Woodinville, WA with his family, two dogs, and two horses.



APIs - REST API